Von VMware gibt es schon seit längerem zwei bekannte Sicherheitslücken, die die Implementation von OpenSLP in den VMware Produkten betreffen. Das Positive ist, für beide Sicherheitslücken gibt es bereits entsprechende Security-Updates, welche diese Lücken wieder schliessen. Somit kann durch das Patchen des ESXi diese Angriffsmöglichkeit geschlossen werden.
Die Sicherheitslücken können ausgenutzt werden, um Ransomware über den ESXi einzuschleusen. Nun wurde das erste Mal öffentlich bekannt, dass diese Sicherheitslücken von Hacker-Kollektiven, namentlich RansomEXx (a.k.a. Defray777), aktiv ausgenutzt wurden um VM’s von Firmen zu verschlüsseln. Ebenfalls wurde bekannt, dass gewisse Ransomware Software, wie beispielsweise BabukLocker, bereits diese Lücken zur Ausnutzung in Ihrem Framework integriert haben.
Angriffsmöglichkeit:
Wenn Angreifer bereits Zugriff auf das Kundennetzwerk haben, kann diese Sicherheitslücke dazu verwendet werden, um Zugriff auf den ESXi Server zu erlangen. Nachdem die Angreifer Zugang zum ESX erlangt haben, können Sie diesen dazu verwenden, um die VMs herunterzufahren und anschliessend die VMDK Files (virtuellen Festplatte der VM) zu verschlüsseln. So findet der Ransomware Angriff nicht wie gewöhnlich im Gast OS, sondern direkt auf ESXi Level und den Festplatten der virtuellen Maschinen, statt.
Achtung!: Man braucht keinen Zugang zum vCenter um diese Lücke auszunutzen. Das vCenter hat keinen Einfluss auf diesen Bug.
Die Advisories von VMware dazu sind hier zu finden:
https://www.vmware.com/security/advisories/VMSA-2019-0022.html
https://www.vmware.com/security/advisories/VMSA-2020-0023.html
Folgende Tabelle zeigt welche Versionen betroffen sind und ab welchem Build die Lücke geschlossen ist:
Major Version: | Sicherheitslücke geschlossen ab: |
ESXi 6.5.0 | 17097218 (6.5 Update 3 EP 22) |
ESXi 6.7.0 | 17098360 (6.7 Update 3 EP 17) |
ESXi 7.0.0 | 17119627 (7.0 Update 1a) |
VCF ESXi 4.X | 4.1.0.1 |
VCF ESXi 3.X | 3.10.1.2 |
Lösung:
Um die beiden Sicherheitslücken zu schliessen, müssen die ESXi Server mindestens auf die entsprechenden Releases aus der Tabelle aktualisiert werden. Sobald die Updates auf den ESXi Servern installiert sind, sind die Lücken geschlossen. Wir empfehlen somit die betroffenen ESXi Server möglichst zeitnah zu aktualisieren.
Anfrage
Jetzt anmelden